Security Professionals
- ipfw add deny all from eindgebruikers to any
OPNsense (pfSense appliance) ervaring?
Heeft iemand ervaring met de OPNsense firewall/router appliances van ApplianceShop.eu (zie http://www.applianceshop.eu/index.php/appliances/firewalls/opnsense-pfsense-19-appliance.html)?
Met name:
(1) Is de HA (CARP) support goed geregeld?
(2) Kun je zelf de firmware updaten of is e.e.a. custom built, en ben je dus afhankelijk van ApplianceShop (of het moederbedrijf http://www.deciso.com/ in Middelharnis)?
(3) Als het custom built is, waar kun je dan updates downloaden, en hoe vaak verschijnen die?
(4) Als het custom built is, is er ook sprake van een andere beheer-interface dan pfSense (http://www.pfsense.org/) biedt?
(5) Weet iemand reviews van deze OPNSense appliances?
(6) Wat zijn de nadelen van pfSense t.o.v. andere firewall distro's? (zelf heb ik even snel hiernaar gekeken: http://linuxbsdos.com/2009/09/03/feature-overview-of-linux-and-bsd-firewall-and-router-distributions/)
Thanks!
Met name:
(1) Is de HA (CARP) support goed geregeld?
(2) Kun je zelf de firmware updaten of is e.e.a. custom built, en ben je dus afhankelijk van ApplianceShop (of het moederbedrijf http://www.deciso.com/ in Middelharnis)?
(3) Als het custom built is, waar kun je dan updates downloaden, en hoe vaak verschijnen die?
(4) Als het custom built is, is er ook sprake van een andere beheer-interface dan pfSense (http://www.pfsense.org/) biedt?
(5) Weet iemand reviews van deze OPNSense appliances?
(6) Wat zijn de nadelen van pfSense t.o.v. andere firewall distro's? (zelf heb ik even snel hiernaar gekeken: http://linuxbsdos.com/2009/09/03/feature-overview-of-linux-and-bsd-firewall-and-router-distributions/)
Thanks!
Reacties (2)
Is geen custom build, gewoon de embedded build die je op pfsense.com kunt vinden. Verder ben je goedkoper uit als je op die zelfde site een Alix bordje besteld, behuizing is dan ietsje minder mooi maar kan verder precies het zelfde. Industrieel compact flash kaartje van daar is onzin, gewoon lekker naar de computerboer op de hoek, is stukken goedkoper. Overigens kun je ook de normale build van PFSense installeren: CF kaartje in USB cardreader, VMWare op je pc, cardreader aan VM toewijzen en installeren maar. Vervolgens zet je SSH aan en in de webinterface zet je de seriele console aan. Appliance boot je dan net zoals de embedded build met een seriele kabel (9600 baud) zodat je de boel kunt configureren.
Het grote voordeel van de Alix bordjes is dat er een cryptografische processor op zit die standaard door PFSense ondersteund en gebruikt wordt (onderdeel van de Geode). Dit is vooral handig wanneer je bijvoorbeeld met IPSec, Open VPN of andere gecrypte tunnels werkt. Het hele encryptie verhaal wordt dan "geoffload" aan deze processor.
Wat energieverbruikt betreft: dat is zo goed als nihil.
Wat PFSense betreft:
Ik draai dit al jaren en ben nog geen firewall/router distro tegen gekomen die zo flexibel en zo makkelijk te configureren is. Er is op geen enkel vlak een compromis gesloten. Met een paar klikken in de web interface heb je een NAT router met UPNP, met nog wat meer klikken heb je een BGP router met meerdere interfaces, vlans, inline packet inspection en de hele poppenkast.
Nadelen heb ik eerlijk gezegd nog niet kunnen vinden, het draait gewoon, het is stabiel en snel.
Als je pfsense wilt proberen raad ik je aan gewoon even de live cd of de VMWare image te downloaden. Tegenwoordig verschillen de embedded build en de normale build niet zo veel meer van elkaar. Vroeger kon de embedded build geen add-ons aan, nu kan dat wel. Enige verschil nu is dat de embedded build je CF kaartje in 2en deelt en op de 2e partitie snapshots van de eerste partitie bij houd. Mocht er dan iets mis gaan dan kun je van de 2e partitie booten en dan werkt alles weer. Vervolgens snapshot je de 2e partitie dan weer terug naar de eerste en klaar :)
Het grote voordeel van de Alix bordjes is dat er een cryptografische processor op zit die standaard door PFSense ondersteund en gebruikt wordt (onderdeel van de Geode). Dit is vooral handig wanneer je bijvoorbeeld met IPSec, Open VPN of andere gecrypte tunnels werkt. Het hele encryptie verhaal wordt dan "geoffload" aan deze processor.
Wat energieverbruikt betreft: dat is zo goed als nihil.
Wat PFSense betreft:
Ik draai dit al jaren en ben nog geen firewall/router distro tegen gekomen die zo flexibel en zo makkelijk te configureren is. Er is op geen enkel vlak een compromis gesloten. Met een paar klikken in de web interface heb je een NAT router met UPNP, met nog wat meer klikken heb je een BGP router met meerdere interfaces, vlans, inline packet inspection en de hele poppenkast.
Nadelen heb ik eerlijk gezegd nog niet kunnen vinden, het draait gewoon, het is stabiel en snel.
Als je pfsense wilt proberen raad ik je aan gewoon even de live cd of de VMWare image te downloaden. Tegenwoordig verschillen de embedded build en de normale build niet zo veel meer van elkaar. Vroeger kon de embedded build geen add-ons aan, nu kan dat wel. Enige verschil nu is dat de embedded build je CF kaartje in 2en deelt en op de 2e partitie snapshots van de eerste partitie bij houd. Mocht er dan iets mis gaan dan kun je van de 2e partitie booten en dan werkt alles weer. Vervolgens snapshot je de 2e partitie dan weer terug naar de eerste en klaar :)
15-06-2010, 18:24 door
Bitwiper
@Anoniem van 14:29 hierboven: dank voor jouw uitgebreide reactie! Voor mezelf thuis zou ik zeker naar zelfbouw kijken (en die Alix bordjes zien er inderdaad leuk uit). Maar ik zoek wat voor een klant, het oog wil dan ook wat en wellicht moeten we een keer aanspraak maken op garantie.
M.b.t. configuatiegemak ben ik ook erg te spreken over Astaro (zie http://www.astaro.com/resources/astaro-live-demos) maar ik heb hier even wat anders nodig. Bovendien had ik pf al erg lang op m'n moet-er-beslist-eens-mee-aan-de-gang lijstje staan... Goed te horen dat m'n beeld er kennelijk van klopt!
M.b.t. configuatiegemak ben ik ook erg te spreken over Astaro (zie http://www.astaro.com/resources/astaro-live-demos) maar ik heb hier even wat anders nodig. Bovendien had ik pf al erg lang op m'n moet-er-beslist-eens-mee-aan-de-gang lijstje staan... Goed te horen dat m'n beeld er kennelijk van klopt!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
